Содержание к диссертации
Введение
ГЛАВА 1. Особенности понятия и содержания криминалистической характеристики создания, использования и распространения вредоносных программ для ЭВМ 14
1.1. Понятие криминалистической характеристики создания, использования и распространения вредоносных программ для ЭВМ...14
1.2. Предмет посягательства 18
1.3. Обстановка совершения преступлений .24
1.4. Личность преступника .33
1.5. Личность потерпевшего .48
1.6. Особенности мотивов и целей преступления .54
1.7. Способ совершения преступления .68
1.8. Типичные следы преступления и вероятные места их нахождения ...84
ГЛАВА 2. Проверочные действия в стадии возбуждения уголовного дела и организация начального этапа расследования 99
2.1. Производство проверочных действий в стадии возбуждения уголовного дела 99
2.2. Планирование расследования в типичных следственных ситуациях .108
2.3. Взаимодействие участников раскрытия и расследования преступлений. 121
ГЛАВА 3. Особенности производства отдельных следственных действий при расследовании создания, использования и распространения вредоносных программ для ЭВМ 127
3.1. Особенности производства осмотра .127
3.2. Особенности производства обыска и выемки .150
3.3. Особенности допроса 162
3.4. Особенности назначения компьютерно-технических экспертиз 169
3.5. Типичные ошибки, совершаемые следователями при производстве неотложных следственных действий .177
Заключение 183
Приложение 1 186
Приложение 2 .194
Библиография .196
- Обстановка совершения преступлений
- Типичные следы преступления и вероятные места их нахождения
- Планирование расследования в типичных следственных ситуациях
- Особенности назначения компьютерно-технических экспертиз
Введение к работе
Актуальность темы исследования. В последние годы очевиден резкий рост преступлений в сфере компьютерной информации во всех странах мира. Аналогичная тенденция наблюдается и в России. Принимая во внимание факт компьютеризации всей человеческой деятельности, включая такие отрасли, как транспорт, оборона и т.д., борьба с компьютерной преступностью становится одной из наиболее важных международных проблем.
С развитием компьютерных технологий появились новые виды преступлений, объектом преступного посягательства которых являются компьютерная информация и права на нее, безопасность пользования средствами вычислительной техники. Возникла острая необходимость правовой защиты компьютерной информации от преступного воздействия, что послужило поводом для разработки новых средств по повышению эффективности деятельности правоохранительных органов по выявлению, расследованию и предупреждению преступлений, совершаемых в сфере компьютерной информации.
Антивирусная компания Sophos () в своем отчете информирует, что за первое полугодие 2004 года появилось 4677 новых вирусов, что на 21% превышает количество вирусов, созданных за то же время в прошлом году. Нельзя забывать и о том, что от одного вируса могут пострадать сотни тысяч пользователей.
По данным компании ICSA Labs (), каждый месяц заражается вредоносными программами 1,5% всех ЭВМ, и это количество возрастает ежемесячно.
Количество преступлений, предусмотренных главой 28 Уголовного кодекса Российской Федерации (далее - УК РФ) (преступления в сфере компьютерной информации), продолжает возрастать пропорционально
увеличению числа пользователей ЭВМ и с каждым днем представляет все большую угрозу обществу. Так, по данным ГИЦ МВД в России в 1997 году было зарегистрировано 33 таких преступления, в 1998 году — 67, в 1999 году — 294, в 2000 году—843, в 2001 году — 2066, в 2002 году — 4122, в 2003 году — 7782, в первом полугодии 2004 года — 5395. При этом, как известно, данная статистика не отражает истинного положения дел. Достаточно сложно выявить и раскрыть такие преступления. Зачастую потерпевшие осознают, что подверглись неправомерному посягательству спустя продолжительный промежуток времени, когда выявить злоумышленника представляется маловероятным. Далеко не все потерпевшие по тем или иным причинам обращаются в правоохранительные органы. Отсутствие территориальных и географических границ для глобальных сетей приводит к тому, что нередко посягательство осуществляется с территории другого государства.
Особенности среды, в которой совершаются такие преступления, резко отличающийся в различных странах уровень развития средств компьютерной техники, в том числе телекоммуникаций, обусловливают отсутствие единых технических и правовых понятий, законов и методик расследования, что приводит к высокой латентности рассматриваемых преступлений. По данным Национального отделения ФБР, от 85% до 97% компьютерных посягательств остаются латентными.
В ходе анализа проблем расследования преступлений в сфере компьютерной информации выявлены дискуссионные вопросы, имеющие место в уголовном законодательстве и в методических разработках по расследованию этих преступлений. Суть проблемы заключается, как правило, в недостаточном взаимодействии правовых и технических наук. В настоящее время не регламентированы единые термины в информационной отрасли, что соответственно, сказывается на использовании этих терминов в правых науках. Так, в тексте статей главы 28 УК РФ не раскрываются многие понятия, а имеющиеся Комментарии к УК РФ зачастую противоречат друг Другу.
На сегодняшний день в юридической литературе по криминалистике существует ряд комплексных исследований, однако их явно недостаточно для решения этих проблем. И все же, проведенные ранее исследования являются важной основой для дальнейшего решения существующих проблем раскрытия преступлений в сфере компьютерной информации. Одной из первых монографических работ, посвященных расследованию преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ, является диссертация «Расследование преступлений, связанных с созданием, использованием и распространением вредоносных программ для ЭВМ» Л.Н. Соловьева. Однако работы других ученых (Б.В. Андреев, Ю.М. Батурин, В.Б. Вехов, Ю.В. Гаврилин, A.M. Жодзишский, В.А. Климов, В.В. Крылов, В.А. Мазуров, П.Н. Пак, В.П. Хорст и др.) посвящены исследованию неправомерного доступа к компьютерной информации (статья 272 УК РФ), либо всем преступлениям в сфере компьютерной информации (глава 28 УК РФ). Проблемам создания использования и распространения вредоносных программ (статья 273 УК РФ), равно как и нарушению правил эксплуатации ЭВМ (статья 274 УК РФ), уделяется явно недостаточное внимание. При этом, если удельный вес преступлений, предусмотренных статьей 274 УК РФ, относительно невелик и в последние два года наблюдается тенденция к снижению их числа, то ситуация с распространением вредоносных программ совсем иная.
В нашей стране обстановка с расследованием создания, использования и распространения вредоносных программ для ЭВМ усугубляется недостаточным оснащением правоохранительных органов техническими средствами, в связи с чем возникает необходимость разработки более эффективных методик, позволяющих успешно расследовать рассматриваемые преступления в условиях ограниченного технического обеспечения.
Изложенное выше предопределило выбор и актуальность темы диссертационного исследования, которая утверждена решением Ученого совета Саратовской государственной академии права.
Объектами диссертационного исследования являются криминальная деятельность правонарушителей, связанная с созданием, использованием и распространением вредоносных программ для ЭВМ, деятельность правоохранительных органов по расследованию данных преступлений, экспертная практика, а также посвященные исследуемой проблеме теоретические разработки.
Предметом исследования являются закономерности преступной деятельности и механизм следообразования, связанный с созданием, использованием и распространением вредоносных программ для ЭВМ, а также проблемы совершенствования деятельности по выявлению и расследованию преступлений.
Целью диссертационного исследования является дальнейшая разработка теоретических основ и практических рекомендаций, направленных на совершенствование деятельности правоохранительных органов по выявлению и расследованию фактов создания, использования и распространения вредоносных программ для ЭВМ.
В соответствии с этим в ходе работы автором были поставлены следующие задачи:
исследовать литературные источники, отражающие методику расследования создания, использования и распространения вредоносных программ для ЭВМ;
изучить и проанализировать практику расследования данных видов преступлений;
уточнить ряд дискуссионных понятий, связанных с криминалистическими особенностями обозначенных преступлений, разработать некоторые определения, подлежащие закреплению в законодательстве РФ;
исследовать и дополнить информацию о криминалистической характеристике таких преступлений, выявить корреляционные связи и зависимости между ее элементами;
выявить типичные следственные ситуации, возникающие при расследовании дел указанной категории, типичные следственные версии и разработать наиболее рациональный алгоритм действий следователя применительно к каждой ситуации;
выявить особенности проведения отдельных следственных действий и разработать с учетом этого ряд практических рекомендаций, направленных на повышение эффективности проведения таких действий при расследовании создания, использования и распространения вредоносных программ для ЭВМ.
Методологическую основу исследования составил общенаучный диалектический метод познания. Наряду с этим в работе использованы такие
методы как: наблюдение, анализ, синтез, моделирование, сравнительно-правовой анализ, методы социологического исследования и др., которые позволили автору более полно изучить предмет исследования и сделать соответствующие выводы.
При разработке и реализации научной концепции исследования
использованы труды известных отечественных и зарубежных юристов
Т.В. Аверьяновой, А.Н. Агамова, В.В. Агафонова, Б.В. Андреева,
Р.С. Белкина, Е.Н., Быстрякова, А.Н. Васильева, Н.С. Вертузаева,
В.Б. Вехова, А.Г. Волеводза, Ю.В. Гаврилина, В.Н. Григорьева,
В.А. Голубева, АС. Егорышева, Е.П. Ищенко, В.А. Климова, В.Е. Козлова,
В.И. Комиссарова, В.В. Крылова, В.Д. Курушина, В.А. Мазурова,
В.А.Минаева, В.А.Мещерякова, У.А. Мусаевой, ПН Пак,
АС. Подшибякина, Е.Р. Российской, Л.Н. Соловьева, А.И.Усова, В.П. Хорст, А.С. Шаталова, Н.Г Шурухнова, СП. Щерба, А.Н. Юрченко, Н.П. Яблокова и других.
Нормативную базу составили положения Конституции РФ, уголовное и уголовно-процессуальное законодательство Российской Федерации, международные соглашения по борьбе с преступностью, федеральные законы, ведомственные нормативные акты, а также законодательство зарубежных стран по исследуемой проблеме.
Эмпирическую базу составили материалы 210 уголовных дел, материалы доследственных проверок, материалы и обобщения Управления по борьбе с преступлениями в сфере высоких технологий МВД России, результаты анкетирования и интервьюирования 159 работников правоохранительных органов, результаты анкетирования 372 пользователей глобальной сети Интернет.
Научная новизна исследования заключается в том, что диссертация представляет собой одну из немногих комплексных монографических работ, посвященных криминалистическим проблемам расследования создания, использования и распространения вредоносных программ для ЭВМ.
Автором предложено новое решение ряда вопросов, связанных с
криминалистической характеристикой создания, использования и
распространения вредоносных программ для ЭВМ; предложено дополнить
законодательство РФ такими определениями как «ЭВМ», «уничтожение
информации», «использование вредоносной программы». Уточнены и
дополнительно обоснованны основополагающие понятия:
«криминалистическая характеристика создания, использования и распространения вредоносных программ для ЭВМ», «компьютерная информация».
На базе эмпирических данных автором обобщены и систематизированы данные о предмете посягательства и обстановке совершения преступления; о личности преступника и потерпевшего; установлены наиболее характерные мотивы и цели создания вредоносных программ; проанализированы особенности способа совершения преступлений, уточнено специфическое понятие следов средств компьютерной техники и предложена их классификация; обозначены причины и меры профилактики преступлений в
сфере компьютерной информации; определены типичные следственные ситуации и круг типичных версий, складывающихся на первоначальном этапе расследования.
На основе выявленных взаимосвязей элементов криминалистической характеристики разработаны рекомендации по планированию расследования; предложен наиболее рациональный алгоритм действий следователя применительно к каждой ситуации; сформулированы практические рекомендации, направленные на повышение эффективности тактики производства отдельных следственных действий, а также разработаны тактические особенности выявления, изъятия и изучения информации, содержащейся в сети Интернет, в том числе информации, физически находящейся на территории другой страны; выявлены типичные ошибки расследования данных преступлений и предложены рекомендации по повышению эффективности расследования таких преступлений.
Основные положения, выносимые на защиту:
Предложение о закреплении в Законе РФ от 23 сентября 1992 года №3523-1 «О правовой охране программ для электронных вычислительных машин и баз данных» таких понятий как «ЭВМ», «использование вредоносной программы», «уничтожение информации». Электронная вычислительная машина — это техническое средство, в котором основные элементы выполнены на электронных приборах, предназначенное для обработки информации, решения вычислительных и иных задач. Использование вредоносной программы означает введение (установка) программы в электронную память ЭВМ с последующей реализацией заложенного в нее (программу) алгоритма. Уничтожение информации — это стирание информации с ее носителя, в результате чего доступ пользователей к ней оказывается затруднен либо исключен.
Авторское определение понятий «криминалистическая характеристика создания, использования и распространения вредоносных программ для ЭВМ», «компьютерная информация». Под криминалистической
характеристикой создания, использования и распространения вредоносных программ для ЭВМ соискатель предлагает понимать систему информации о криминалистически значимых, взаимосвязанных признаках этого преступления, служащую целям наиболее эффективного выявления, раскрытия, расследования и предупреждения таких преступлений. Компьютерная информация - это сведения на машинном носителе, в электромагнитном поле, в виде излучения или передаваемые по телекоммуникационным каналам в форме пригодной для обработки ЭВМ.
Теоретические положения, раскрывающие особенности предмета посягательства, обстановки совершения преступлений.
Обобщенные и систематизированные данные о личности преступника и потерпевшего.
Классификация мотивов и целей создания вредоносных программ. Наиболее типичными мотивами написания вредоносных программ являются: 1) достижение материальной выгоды; 2) исследовательский интерес; 3) профессиональное самоутверждение; 4) хулиганские побуждения; 5) поиск известности. Целью совершения таких преступлений могут быть уничтожение, блокирование, модификация, копирование информации, а также совершение преступлений предусмотренных статьями 137, 138, 146, 147,159, 165, 183, 272, 275, 276.УК РФ.
Теоретические положения, раскрывающие особенности способа совершения преступления, понятие, особенности и классификацию следов, оставляемых преступником при создании, использовании и распространении вредоносных программ, особенности сокрытия таких следов.
Корреляционные связи между элементами криминалистической характеристики создания, использования и распространения вредоносных программ, выраженные в количественных показателях.
Содержание типичных следственных ситуаций первоначального этапа расследования. Наиболее типичными ситуациями выявления преступлений, предусмотренных статьей 273 УК РФ, являются: а) пользователь информационной системы обнаружил признаки преступления
и заявил об этом факте в правоохранительные органы; б) признаки преступления обнаружены органами дознания.
После возбуждения уголовного дела складываются следующие ситуации расследования: а) известны последствия совершения преступления и виновное лицо; б) известны некоторые обстоятельства преступных действий, но неизвестно лицо, их совершившее. К каждой из названных ситуаций предлагается перечень наиболее характерных типичных версий и обоснованный алгоритм действий следователя.
9. Дополнительные рекомендации по подготовке и тактике проведения отдельных следственных действий на начальном этапе расследования создания, использования и распространения вредоносных программ для ЭВМ.
Теоретическая и практическая значимость работы. Вопросы, рассматриваемые в диссертации, имеют определенное значение для развития перспективных направлений расследования случаев создания, использования и распространения вредоносных программ. Разработанные положения и выводы могут служить теоретической основой для проведения дальнейших исследований, совершенствования уголовного законодательства, методик расследования данных преступлений.
Практическая значимость работы выражается в возможности ее
непосредственного использования при выявлении и расследовании
рассматриваемых преступлений, для повышения квалификации
практических работников правоохранительных органов, а также в учебном процессе. Содержащиеся в диссертации выводы и предложения могут использоваться при создании учебников, учебных и методических пособий, при разработке спецкурсов в системе высших учебных заведений.
Апробация результатов исследования. Основные положения диссертационного исследования изложены в 7 научных статьях, опубликованных в местных, центральных и зарубежных изданиях, были
обсуждены на заседаниях кафедры криминалистики № 1 ГОУ ВПО Саратовской государственной академии права, а также использованы в учебном процессе на практических занятиях со студентами ГОУ ВПО СГАП. Результаты диссертационного исследования внедрены в практическую деятельность УВД г. Балаково и Балаковского района Саратовской области (акт внедрения от 27 октября 2004 года).
Структура работы определяется целью и задачами исследования. Диссертация состоит из введения, трех глав, заключения, списка использованной литературы и приложений.
Обстановка совершения преступлений
В криминалистической характеристике преступлений большое значение имеет обстановка совершения преступлений. Как верно отмечает Н.П. Яблоков, элементы обстановки совершения преступления оставляют различного рода следы во вне, могущие быть выявленными и изученными при расследовании. «В такого рода автономных следах обычно содержится существенная информация для криминалистической оценки данного события с точки зрения того, в каких условиях оно готовилось и было совершено» .
Обстановка совершения преступлений в сфере компьютерной информации имеет свою специфику. Такие преступления совершаются в определенной, особенной среде — в сфере деятельности ЭВМ. В частности, существенной информацией для криминалистической оценки будет являться то, как был защищен предмет преступления от посягательства, при каком занятии деятельности его участников, в каких географических и временных условиях происходило преступление. Особенностью подобных преступлений является то, что на них не влияют природно-климатические факторы , то есть они могут совершаться в любом месте, где функционирует ЭВМ. Место совершения преступления можно разделить: на место совершения деяния, место наступления последствий. Также в криминалистическую характеристику создания, использования и распространения вредоносных программ для ЭВМ целесообразно включить место подготовки и сокрытия преступления. Подготовка к преступлению — создание либо приискание отвечающих определенным требованиям вредоносных программ могут происходить в любом месте, где имеется ЭВМ, отвечающая системным требованиям какого-либо языка программирования. Если планируется атака на определенную систему, злоумышленник при отладке программы может использовать модель либо аналог такой системы. Возможен поиск и изучение подробной документации атакуемой системы, опрос пользователей об особенностях ее (системы) работы, характерных ошибках функционирования и пр. Особенность совершения деяния и сложность данного преступления состоит в том, что общественно опасное деяние может совершаться на территории одного государства, а последствия наступают на территории другого. К тому же с учетом устройства сети Интернет следы преступления могут находиться на сервере провайдера, который физически находится на территории третьей страны. На успех раскрытия таких преступлений большое влияние оказывает степень взаимного сотрудничества государств. Немалую долю в деятельности ряда известных преступных сообществ занимают преступления, совершаемые с применением компьютерной техники с целью хищения денежных средств . Актуальной проблемой на сегодняшний день является тот факт, что преступные сообщества сотрудничают гораздо активнее, нежели правоохранительные органы. Немаловажным моментом так же является неидентичность законно-дательства разных стран в области борьбы с преступлениями в сфере высоких технологий и Интернете. Европейский союз уже достаточно давно разрабатывает различные методы сотрудничества и общие законы для стран-участниц, так как Интернет есть во всех странах, и многие преступления совершаются иностранными гражданами, находящимися в иных государствах, где ответственность за такие преступления не предусмотрена.
В нашей стране подписано соглашение «о сотрудничестве государств – участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации». В соответствии с этим соглашением стороны будут сотрудничать в «обеспечении предупреждения, выявления, пресечения, раскрытия и расследования преступлений в сфере компьютерной информации». Отмечается, что стороны будут стремиться к гармонизации национального законодательства в области борьбы с преступлениями в сфере компьютерной информации.
Вероятность наступления вредных последствий в том или ином месте будет зависеть от следующих факторов: 1) вид объекта (общественная организация, государственное предприятие и т.п.); 2) наличие и уровень защиты информации на объекте; 3) организация дисциплины и квалификация сотрудников. Вид объекта. На сегодняшний день атакам вредоносных программ в большей или меньшей степени могут подвергаться любые юридические или физические лица, в работе которых задействован ЭВМ, так как способы распространения и мотивы создания вредоносных программ достаточно разнообразны.
Типичные следы преступления и вероятные места их нахождения
В расследовании преступлений следы используются еще с древних времен, в частности об этом свидетельствуют древнеиндийские Законы Ману .
Упоминается о следах и в таких древнерусских источниках как «Русская Правда», Договор Руси с Византией 911 г. и др . Основоположником учения о следах в советской криминалистике считается профессор И.Н. Якимов. Научные основы современной трасологии разработаны Б.И. Шевченко, а в дальнейшем Р.С. Белкиным, И.Ф. Крыловым и многими другими учеными.
По мнению Б. И. Шевченко, следы преступления применяются для обозначения всех самых разнообразных материальных изменений, которые обязаны своим происхождением тем или иным действиям преступника, связанным с совершением преступления во всех его стадиях, пользуются в криминалистике обобщающим и охватывающим все эти изменения названием — следы преступления .
Однако следы преступлений могут выражаться не только в материальных изменениях. Согласно мнению Р.С. Белкина, «следами преступления являются любые изменения среды, возникшие в результате совершения в этой среде преступления. Эти изменения могут быть двух видов: идеальные («отпечатки» события в сознании людей) и материальные («отпечатки» события на предметах, изменения обстановки события)» .
Анализируя понятие идеальных следов, В.В. Агафонов справедливо отмечает, что «сам этот термин условен: идеальные следы по своей природе материальны, так как являются результатом материальных изменений в мозгу человека –– изменения электростатических импульсов, особенностей протекания биохимических процессов» . Говоря о следах в сфере компьютерной информации, интересным представляется мнение В.А. Мещерякова, который выделяет следы в сфере компьютерной информации в отдельную группу так называемых «виртуальных следов», что обусловлено специфическими свойствами, присущими только таким следам. В частности, это их особое, промежуточное положение между идеальными и материальными следами: объективно существуя на материальных носителях, такие следы весьма субъективны, так как основываются на условных стандартах . По мнению Мещерякова В.А., виртуальный след — это любое криминалистически значимое изменение состояния автоматизированной информационной системы (образованного ей кибернетического пространства), связанное с событием преступления и зафиксированное в виде компьютерной информации (то есть информации в виде, пригодном для машинной обработки) на материальном носителе, в том числе на электромагнитном поле . Несколько необоснованно, как представляется, введение в определение слова «автоматизированной» информационной системы. По нашему мнению, существуют и неавтоматизированные информационные системы. На наш взгляд, представляется несколько дискуссионным само название группы следов — «виртуальные следы». «Виртуальный» (лат. virtualis) — возможный; который может проявиться . То есть возможный, но несуществующий в настоящем, и применяется к соответствующим компьютерным, чаще игровым терминам — «виртуальная реальность», «виртуальные миры» и т.п. Из смысла же определения вытекает, что «виртуальный» означает изменение, зафиксированное в виде компьютерной информации, информации реально существующей. Таким образом, название «виртуальные следы», на наш взгляд, несколько не соответствует указанному определению. Бесспорно существование виртуальных следов, однако это понятие имеет более узкое значение и является разновидностью электронных следов. Понятие виртуальных следов можно применять тогда когда речь идет о модели, прототипе либо эмуляции какого-либо действия или явления. Так, например, виртуальным может быть привод компакт дисков, компакт диск (образ диска), виртуальное сетевое соединение и т.п.
Некоторые авторы не согласны с выделением следов в сфере компьютерной информации в отдельную группу «виртуальных» следов, так как они считают, что в такой группе следов, как и в любой другой, существуют воздействующие объекты, объекты, передающие воздействие, воспринимающие объекты. И все эти предметы, процессы, следы могут быть только материальными и никакими иными, и даже идеальные следы, находящиеся в памяти материальны, поскольку уничтожение мозга повлечет уничтожение таких следов . Далее В.Н. Черкасов и А.Б. Нехорошев справедливо, по нашему мнению, возражают В.А. Мещерякову в том, что отличием «виртуальных следов» является то, что, существуя на материальных носителях, такие следы недоступны непосредственному восприятию. Так, ряд материальных следов тоже недоступен непосредственному восприятию без специальных технических средств, например непроявленная фотопленка . Что касается субъективности «виртуальных следов», здесь не существует различий с такими материальными следами, как, например, машинописный текст. Недостаточная надежность также свойственна многим материальным следам.
Планирование расследования в типичных следственных ситуациях
Одним из наиболее важных условий эффективности работы правоохранительных органов является планирование процесса расследования преступлений. Программа действия следователя, как известно, должна разрабатываться исходя из типичных следственных ситуаций. «Особо актуально программирование первоначального этапа расследования преступлений, совершаемых с использованием последних достижений научно-технического прогресса, в частности «компьютерных»» . Исходя из этого, для успешного раскрытия создания, использования и распространения вредоносных программ для ЭВМ необходимо разработать алгоритм действий следователя применительно к каждой типичной следственной ситуации.
В случае принятия следователем решения о возбуждении уголовного дела на практике возникают следующие типичные ситуации: а) известны последствия совершения преступления и подозреваемое лицо; б) известны некоторые обстоятельства преступных действий, но неизвестно лицо, их совершившее. Первая типичная ситуация расследования, когда известны последствия совершения преступления и подозреваемое лицо. На начальном этапе такие ситуации встречаются достаточно часто — в 32% изученных случаев. Следует сразу оговориться, что неправомерный характер изменений и виновность лица носят предположительный характер, так как окончательно признать противозаконность деяния вправе только суд. Данная ситуация, как правило, возникает при поступлении заявления потерпевшего о покупке носителя с такими программами, либо об инфицировании его ЭВМ через телекоммуникационные каналы с известного ему адреса. Наиболее часто такая ситуация встречается при продаже носителей с такими программами. Так, например, гражданин Д., работая продавцом компьютерных дисков типа CD-ROM на территории с/к «О», 12 января 2000 г., примерно в 12 часов 30 минут, продал за 65 руб. покупателю А. машинный носитель типа CD-ROM под названием «Хакеру и взломщику» с находящимися на нем вредоносными программами .
Наиболее целесообразная последовательность следственных действий при этом представляется следующей:
После обнаружения признаков преступления производится задержание и допрос подозреваемого лица. Зачастую подозреваемый является розничным продавцом материальных носителей с вредоносными программами. Эффективность этого следственного действия будет зависеть от качества проведенной в стадии возбуждения уголовного дела проверочной закупки. Основной целью допроса будет выяснение психического отношения лица к совершенному, а также установление всех участников преступного деяния. Необходимо выяснить организатора преступления и места изготовления (закупки) носителей с вредоносными программами. «Более 70% преступлений, предусмотренных ч. 1 ст. 273 УК РФ, возбуждено по материалам проверочных закупок компакт-дисков с вредоносными программами у лиц, занимающихся их сбытом. Однако при задержании распространителей машинных носителей с вредоносными программами неотложные оперативно-розыскные мероприятия с целью выявления их собственников и создателей вредоносных программ в основном не проводятся, в результате чего эти лица, как правило, не устанавливаются и к уголовной ответственности не привлекаются» . Указанный недостаток в работе правоохранительных органов является весьма существенным. Для эффективной борьбы с преступностью необходимо выявление всей цепи задействованных в незаконной деятельности лиц, начиная от розничных продавцов и заканчивая изготовителем таких носителей. Более того, как справедливо отмечает Н.П. Яблоков, «установление признаков действий организованной группы при совершении расследуемого преступления, позволяет выдвинуть обоснованные версии о том, что данное преступление для нее, как правило, является не единственным» . Одна из задач допроса ––проверка этой версии. Помочь в этом может использование в ходе допроса информации, полученной при изучении схожих уголовных дел с аналогичным объектом посягательства и способами совершения преступления, а также информации, полученной от работников подразделений «К» МВД России и следователей, расследующих подобные дела. Далее выясняются места хранения основной партии носителей, закупленных на реализацию. Если подозреваемый не отказывается от дачи показаний и настроен на помощь следствию, по результатам допроса целесообразно провести выемку всей партии машинных носителей информации со следами преступления. В случае же если подозреваемый не признает свой вины, утверждает, что не имеет представления о характере и содержании информации, содержащейся на указанном носителе, необходимо произвести допрос свидетелей. Умысел лица можно установить путем допроса покупателей и других продавцов. В процессе допроса устанавливается, каким образом подозреваемый характеризовал распространяемую продукцию, не рекламировал ли наличие вредоносных программ, вирусов, конструкторов вирусов и т.п.
Особенности назначения компьютерно-технических экспертиз
Ведущую роль при расследовании преступлений в сфере компьютерной информации играет проведение различных экспертиз. В зависимости от конкретной ситуации могут назначаться самые разные виды экспертиз, мы же более подробно остановимся на относительно новом, компьютерно-техническом виде экспертного исследования. Современная наука выделяет следующие виды судебно-компьютерных экспертиз: 1) аппаратно-компьютерную экспертизу; 2) программно-компьютерную экспертизу; 3) информационно-компьютерную экспертизу; 4) компьютерно-сетевую экспертизу. Аппаратные (технические) компьютерные средства исследуются с целью установления их технических характеристик, возможностей, повреждений и причин их возникновения. При расследовании создания, использования и распространения вредоносных программ для ЭВМ такие экспертизы могут назначаться в местах непосредственного совершения противоправного деяния для установления возможности совершения преступления, путей распространения вредоносной программы и пр. В месте наступления последствий такая экспертиза позволяет установить, помимо вышеперечисленной информации, повреждения ЭВМ и причины их возникновения.
Программные и информационные экспертизы, на наш взгляд, имеют наибольшее значение. При расследовании противоправных деяний с вредоносными программами такое исследование в благоприятном случае может установить время, место, способ создания, использования или распространения вредоносной программы, авторство этой программы, размер причиненного вреда.
Сетевые экспертизы исследуют вопросы, связанные с функционированием сетевых технологий.
По нашему мнению, несколько спорно подробное выделение разновидностей компьютерных экспертиз в правовой литературе. Не вызывает сомнений необходимость такой классификации для эксперта, так как это, например, определяет предмет и метод предстоящего исследования. Однако эта информация для следователя является излишней, так как может вызывать неоправданную путаницу в названии назначаемой экспертизы. Так, например, для того чтобы правильно назначить ту или иную разновидность экспертизы из приведенной выше классификации, необходимо обладать определенной базой специальных познаний, которых у следователя может не оказаться. Попробуем возразить и другой группе авторов , выделяющих менее обширную классификацию, но оттого не менее сложную для следователя: 1) программно-техническую экспертизу; 2) техническую экспертизу компьютеров и их комплектующих. Дело в том, что на ряд вопросов по техническому состоянию компьютеров возможно дать ответ только при исследовании сопутствующего программного обеспечения. Например, авторы этой классификации считают, что целью назначения компьютерно-технических экспертиз является выяснение вопросов наличия и причин физических дефектов, определения совместимости компонентов и т.п. Однако в некоторых случаях определить совместимость возможно только при исследовании программного обеспечения или так называемых «драйверов» оборудования. Изменение, к примеру, кода или версии драйвера может привести к изменению совместимости, производительности устройства в данной операционной системе и т.д. В некоторых устройствах возможно программное изменение частотных характеристик определенных компонентов. Такое изменение (повышение частоты) приводит к повышению тепловыделения и в ряде случаев к физическим дефектам (оплавлению и, как следствие, выходу из строя). Таким образом, у следователя могут возникнуть сложности при определении вида назначаемой экспертизы. На наш взгляд, гораздо целесообразнее при назначении экспертиз ограничиться одним названием «компьютерно-техническая экспертиза», и ставить на ее разрешение интересующие следствие вопросы, касающиеся компьютерной техники. Согласно ст. 199 УПК РФ необходимые материалы при назначении экспертизы направляются руководителю соответствующего экспертного учреждения. Затем руководитель этого учреждения определяет, какому эксперту (или нескольким экспертам) поручить производство экспертизы. Это логично и целесообразно, так как руководитель экспертного учреждения может корректнее определить, что необходимо для производства конкретной экспертизы и, соответственно, какому специалисту ее поручить (например, специалисту в области сетевых технологий или в области определенного ПО). Указание следователем той или иной разновидности компьютерной экспертизы может привести лишь к излишнему усложнению такого действия, как назначение экспертизы, либо к сложностям в производстве экспертизы, либо при ответе на поставленные вопросы к проведению иного исследования, отличного от того, что указано в постановлении. Вопросы, которые передаются на экспертизу, следователю прежде, в большинстве случаев, необходимо согласовать со специалистом. Для 20% опрошенных следователей основной проблемой при назначении экспертиз является отсутствие типичных вопросов, которые выносятся на разрешение экспертизы при расследовании данной категории дел.